청호PENTEST - Professional Penetration Testing Company

Select Language
일부 웹사이트에 침투한 공격자들, 아이프레임 주입해 경고 메시지 노출
크기가 콘텐츠와 정확히 일치...업데이트 하라는 경고 무시하기 어려워


멀웨어를 퍼트리는 방법과 전략을 만들어 낸다는 점에 있어서 사이버 범죄자들은 꽤나 창의적인 부류들이다. 최근 일부 공격자들은 가짜 디지털 인증서 ‘업데이트’를 통해 사용자들의 시스템을 감염시키고 있다고 보안 업체 카스퍼스키(Kaspersky)가 경고했다.

[이미지 = iclickart]


보 안 업체 카스퍼스키는 이번 주 보고서를 통해 “특정 웹사이트들이 방문자에게 ‘보안을 위한 디지털 인증서가 만료되었으니 갱신해야 한다’는 메시지를 보여주며 업데이트 설치를 권장하고 있는 걸 발견했다”며 “여기에 응하는 사람은 결국 멀웨어를 다운로드 받게 된다”고 경고했다.

이 캠페인은 1월 중순부터 시작된 것으로 보이며, 동물원 한 곳과 자동차 부품 딜러 한 곳의 웹사이트가 연루되어 있다고 한다. 아직까지 공격자들이 해당 사이트들을 어떻게 침해했는지는 정확히 밝혀지지 않고 있다.

카 스퍼스키는 “웹 보안 업데이트를 가장한 멀웨어 배포 시도는 처음 보는 일”이라고 말한다. 물론 비슷한 사례들이 없는 건 아니다. 가짜 소프트웨어 업데이트나 브라우저 업데이트, 어도비 플래시 플레이어 업데이트 등을 통한 멀웨어 설치 시도 등은 과거에도 있어 왔다.

“사람들은 이런 종류의 공격에 꽤나 취약합니다. 정상적인 사이트를 통해 메시지가 나타나고, 보안을 위해 업데이트 하라는 내용에 별 다른 수상한 점이 없기 때문입니다. 심지어 과거에 방문을 해봤던 사이트인 경우도 많죠.” 카스퍼스키의 멀웨어 분석가인 빅토리아 블라소바(Victoria Vlasova)의 설명이다.

이번 캠페인에서 공격자들은 정상적인 웹사이트에 침투해 아이프레임을 주입했다. 방문자들에게 나타낼 경고 메시지가 바로 이 아이프레임을 통해 나타난다. 내용은 위에 언급한 것처럼 보안 인증서 만료와 갱신에 관한 것이다. 이 아이프레임은 원래 사이트 콘텐츠와 똑같은 크기를 가지고 있어 메시지를 무시하고 계속해서 사이트를 탐색하기가 어렵다.

또한 아이프레임 내에 명시된 주소들은 실제 정상 웹사이트들의 주소들이다. 따라서 사용자들은 의심 없이 인증서를 설치하게 된다. 블라소바는 “사용자들은 온라인 상에서 뭔가를 다운로드 하도록 권유 받을 때 항상 조심해야 한다”고 경고한다. “사실은 불필요할 때가 많거든요. 정말로 신뢰할 만한 출처가 아니라면, 그리고 꼭 필요한 게 아니라면 늘 두세 번씩 확인을 해보세요.”

이 캠페인에서 공격자들이 퍼트리려고 하는 건 모크스(Mokes)와 부에락(Buerak)이라는 멀웨어다. 둘 다 이전부터 알려져 있던 멀웨어로, 모크스는 다른 멀웨어를 추가로 다운로드 하는 기능을 가진 백도어이며, 스모크 로더(Smoke Loader)라는 이름으로도 알려져 있다. 셸코드를 설치하는 데에도 활용될 수 있다.

부에락도 모크스와 비슷한데 주로 암호화폐 채굴 소프트웨어나 랜섬웨어를 추가로 설치하는 데 활용된다. 물론 다른 종류의 멀웨어와 연계되기도 한다.

보 안 업체 베나피(Venafi)의 수석 보안 엔지니어인 프라틱 사블라(Pratik Savla)는 “일반인들에게도 보안 인증서라는 것이 점점 보편화되고 있기 때문에 이런 테마를 가진 피싱 공격이 증가하는 것”이라며 “앞으로 더 증가할 수밖에 없다”는 의견이다.
번호 제목 닉네임 조회 등록일
8355 랜섬웨어 공격은 지금도 계속된다! 하다하다 ‘코로나’ 랜섬웨어까지
[레벨:30]관리자
109 2020-03-06
8354 해커 출신 변호사가 해부한 해킹판결
[레벨:30]관리자
98 2020-03-06
Selected ‘보안 인증서가 만료되었다’는 메시지를 클릭하면 큰일
[레벨:30]관리자
93 2020-03-06
8352 신천지 홈페이지 ‘디페이스 해킹 공격’ 당했다
[레벨:30]관리자
91 2020-03-04
8351 미국 사법부, 북한 해커 도와 돈 세탁한 중국인 2명 기소
[레벨:30]관리자
75 2020-03-04
8350 ‘신규 구매 주문’ 사칭한 악성메일 떴다!
[레벨:30]관리자
62 2020-03-04
8349 중국, 작년 한 해 아시아의 통신사들을 제일 많이 공격했다
[레벨:30]관리자
82 2020-03-04
8348 와이파이가 꺼졌다 켜지는 순간, 공격의 문이 열린다
[레벨:30]관리자
61 2020-03-03
8347 ‘코로나19’ 사태 악용한 김수키 조직 사이버 공격 발견
[레벨:30]관리자
66 2020-03-03
8346 익스체인지 서버 노리는 해커들의 스캔 행위, 급증하고 있다
[레벨:30]관리자
85 2020-03-03
8345 ‘오토캐드(AutoCAD)’ 설계도면 위장한 악성코드 주의보
[레벨:30]관리자
77 2020-03-03
8344 중 “1월 바이러스 감염 컴퓨터 274만대... 보안사건 1,690여건”
[레벨:30]관리자
58 2020-03-03
8343 카카오톡 또 오류... 올해 들어 벌써 두 번째
[레벨:30]관리자
62 2020-03-03
8342 한글 이력서 위장 악성메일 유포! 北 추정 김수키 조직의 계속되는 APT 공격
[레벨:30]관리자
81 2020-03-03
8341 윈도우 업데이트로 위장한 ‘신종 랜섬웨어’ 국내서 발견
[레벨:30]관리자
75 2020-03-03
8340 다크웹에서 첩보 수집한다고? 법적 처벌부터 조심해!
[레벨:30]관리자
76 2020-03-03
8339 ‘통일외교안보특보 발표 문서’ 사칭 스피어피싱 공격... 김수키 추정
[레벨:30]관리자
100 2020-01-20
8338 배송대행 업체 산타빌리지 해킹... 해커, 개인정보 볼모로 협박중
[레벨:30]관리자
113 2020-01-20
8337 얼굴인식 AI를 속이는 AI? 기만 공격 가능하다
[레벨:30]관리자
115 2020-01-20
8336 코니 APT 공격 출현... 2020년 동경 패럴림픽 문서 위장했다
[레벨:30]관리자
96 2020-01-20
Tag List

서비스 링크

X
Login

브라우저를 닫더라도 로그인이 계속 유지될 수 있습니다. 로그인 유지 기능을 사용할 경우 다음 접속부터는 로그인을 하실 필요가 없습니다. 단, 게임방, 학교 등 공공장소에서 이용 시 개인정보가 유출될 수 있으니 꼭 로그아웃을 해주세요.

아이디가 없으신 분은

회원가입 후 이용하실 수 있습니다.

X